miércoles, 17 de febrero de 2010

Virus de la "Doble Tilde"

 Hace unos días atrás, me llaman de un estudio local por un problema que tenían en su Office, el cual en todas las vocales que llevaban acento, les colocaba una doble tilde y sin la letra debajo.
Primero pensé que se trataba de algún virus “jokes” (broma) o de alguna macro, pero al ver los registros de conexión de la pc me encontré con procesos pocos comunes (sospechosos) los cuales hacían varios intentos de conexión a paginas que la persona dueña de la pc nunca había ingresado.


Descartado entonces la suposición anterior, buscando en Internet me encontré de que no se trataba solo de un virus molesto, sino de un Malware que circula desde el 2007, y que en sus nuevas variantes utiliza técnicas de Rootkits para escabullirse en el sistema y hacer así más difícil su deteccion y correcta eliminación, y que reúne conjuntos de Troyanos con comportamientos de  Keylogger y Downloader.
Al malware en cuestión se lo  conoce popularmente como virus "Doble Tilde" o "Doble Acento", esto es así por  que si queremos escribir la palabra “camión” nos saldrá  “cami´´on”. Esto es el efecto visual que posee, pero como informan en InfoSpyware en su interior esconde otras funciones como las siguientes:

  •  Utiliza técnicas de Keylogger para captar y guardar todo lo que se teclea en un equipo infectado. (es un error en este que genera los dobles tildes)
  •  Utiliza técnicas de Downloader buscando y descargando otros malwares de otro tipo con los que estos se encuentran afiliados.
  •  Utiliza técnicas de Rootkits para ocultarse en el sistema y así evitar ser detectado y eliminado por las herramientas Antivirus tradicionales durante el mayor tiempo posible.
  •  Monitorea todo el tráfico Web y captura la información introducida por el usuario en ciertas páginas Web como por ejemplo la pagina de nuestro banco para obtener el login y el pass de nuestras cuentas de correo, etc.
  •  Elimina todas las cookies para que el usuario tenga que introducir los datos de acceso a las páginas que visita.
  •  Envía toda la información recolectada de las maquinas infectadas con el nombre de la maquina a los creadores, para quien sabe el uso que puedan emplear con esto.

Los medios que utiliza este Malware para propagarse son:
  •  Adjunto en emails spam.
  •  Links de descargas disfrazados en emails spams.
  •  Encubierto en archivos supuestamente legítimos en redes P2P.
  •  Al visitar algún sitio Web infectado sin contar con la correcta protección en nuestro equipo.
Por suerte para los que tienen el equipo infectado con este Malware, desde InfoSpyware crearon una utilidad gratuita para eliminarlo llamada  DT-Kill by InfoSpyware (Doble Tilde Kill) la cual se encuentra para su descarga desde el foro.
Pasos a seguir para desinfectar la pc:

1.    Desactiva temporalmente el Antivirus y/o Antispyware.
2.    Ejecute DT-Kill.exe
3.    El proceso de desinfección iniciara.
4.    El ordenador se reiniciara, para completar el proceso de limpieza (Solo si la infección esta presente)
5.    Al termino del análisis, saltara en un bloc de notas las acciones tomadas por DT-Kill.exe

DT-Kill.exe, genera un reporte, el cual se encuentra generalmente en C:\R_TKill.txt
Luego recomiendan correr CCleaner para limpiar las cookies y el registro de Windows y reiniciar la pc. Por supuesto hay que tener un buen antivirus con las firmas y el motor actualizado.

Nota: para descargar DT-Kill hay que estar registrado en la Web de InfoSpyware, lo cual lo pueden hacer desde aca.

2 comentarios:

Gabriela dijo...

Muy Buena Info Cristhian, les voy a pasar a mis sobrinas para que esten atentas. bye

Anónimo dijo...

Información clara y precisa, como siempre! Serás un gran profe!(Marcela)